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SCBEMAS DE SK^ATURE A BASE DE 
LOGARITHMS DISCRET AVEC RECONSTITUTION 
PARTIELLE OU TOTALE DU MESSAGE 

L' invention consiste en deux nouveaux schemas de 
signature electronique bases sur le probleme du 
logarithme discret, le premier permettant la 
recons titution totale du message, le second permettant 
5 la recons titution partielle du message^ ainsi que deux 
techniques permettant de reduire la taille des 
signatures electroniques - 

Une signature electronique d'un message est un 
nombre dependant a la fois d'une cle secrete connue 

10 seulement de la personne signant le message, ainsi que 
du contenu du message a signer. Une signature 
electronique doit etre verifiable : il doit etre 
possible pour une tierce personne de verifier la 
validate de la signature, sans que la connaissance de 

15 la cle secrete de la personne signant le message ne 
soit requise- 

II existe deux types de schema de signature 
Electronique : 

20 - Schemas de signature electronique necessitant le 

message original pour la verification de la signature. 

Schemas de signature electronique avec 
recons titution du message, Le message original est 
25 obtenu d'apres la signature elle-meme. Le message 
original n'etant pas necessaire pour verifier la 
signature, la taille totale de la signature est plus 
cour te . 

30 II existe de nombreux precedes de signature 

electronique. Les plus connus sont : 
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Schema de signature RSA : c'est le schema de 
signature electronique le plus largement utilise. Sa 
securite est basee sur la difficulte de la 
factorisation de grands nombres ; 

5 

- Schema de signature Rabin. Sa securite est aussi 
basee sur la difficulte de la factorisation de grands 
nombres ; 

10 - Schema de signature de type El-Gamal . Sa 

securite est basee sur la difficulte du probleme du 
logarithme discret. Le probleme du logarithme discret 
consiste a determiner, s'il existe, un entier x tel 
que y=g'^ avec y et g deux elements d'un ensemble E 

15 possedant une structure de groupe ; 

Schema de signature Schnorr. II s'agit d'une 
variante du schema de signature de type El-Gamal. 

20 II existe une autre variante du schema de 

signature de type El-Gamal permettant la 

recons titut ion totale du message, appelee schema de 
signature Nyberg et Rueppel. Ce schema est decrit dans 
1' article A new signature scheme based on the DSA, 

25 giving message recovery " paru dans Proceedings of 
the first ACM conference on communications and 
computer security, 1993, 58-61 Une variante de 

schema a base de courbe elliptique est decrite dans le 
document IEEE P1363 draft. Standard specifications 

30 for public key cryptography. August 1998 Cette 
variante utilise une fonction de redondance R, une 
courbe elliptique formant une structure de groupe dont 
I'element zero est note O et un point G de la courbe, 
lequel point G est generateur d'un sous-groupe d'ordre 
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un nombre premier r. La cle privee est un entier 
positif s inferieur a r et la cle publique est le 
point W = s.G, la notation s.G designant la somme, au 
sens de I'addition de la courbe elliptique, de s 
points pris egaux a Le procede de generation de la 

signature d'un message m comporte les cinq etapes 
suivantes : 

1) G^nerer un nombre aleatoire u compris entre 0 
et r-1 et calculer V=u.G ; 

2) Calculer I'entier f=R(m) ; 

3) Associer au point V un entier i et calculer 
c = i + f modulo r ; retourner a I'etape 1) si c = 0 ; 

4) Calculer d-u-s*c modulo r ; 

5) La signature est la paire d'entiers (c,d). 

Le procede de verification de la signature 
comporte les quatre etapes suivantes : 

1) Si c n'appartient pas a I'intervalle [l,r-l] ou 
si d n'appartient pas a I'intervalle [0,r-l], la 
signature n'est pas valide ; 

2) Calculer le point P=d.G + c.W; si P=0, la 
signature n'est pas valide ; 

3) Associer au point P I'entier i et calculer 
I'entier f=c-i modulo r ; 

4) Retrouver le message m a partir de f et 
verifier que f = R(m) ; si oui, la signature du message 
m est valide ; sinon, la signature n'est pas valide. 

Le premier procede de 1' invention consiste en une 
autre variante d'un schema de signature de type El- 
Gamal. Cette variante permet la recons titution totale 
du message. La variante est decrite dans le cadre de 
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1 ' utilisation de courbes elliptiques . II est cependant 
possible d'utiliser cette variante dans tout ensemble 
possedant une structure de groupe pour lequel le 
probleme du logarithme discret est difficile, par 
5 exemple le groupe mul tiplicatif des entiers modulo un 
nombre premier ou le sous-groupe mul t iplica t i f d'ordre 
un grand nombre premier r des entiers modulo un nombre 
premier p avec r divisant p-1- Cette variante utilise 
une fonction de redondance R, une courbe elliptique 

10 ^P_E^^^ __PI^^_ struct ure _cie_ gr oupe dont ^ 1^ element zero 

est note O et un point G de la courbe, lequel point G 
est generateur d'un sous-groupe d' ordre un nombre 
premier r. La cle privee est un entier positif s 
inferieur a r et la cl6 publique est le point W = s.G. 

15 Cette variante utilise une constante entiere k non 
nulle. Le proc§de de generation de la signature 
comporte les quatre 6tapes suivantes : 

1) Generer un nombre al§atoire u compris entre 1 
20 et r-1 et calculer V=u . G ; 

2) Associer au point V un entier i et calculer 
c=i+f modulo r ; si c=0, retourner a I'etape 1) ; 

3) Calculer I'entier d=u"^* ( k + s*c} modulo r ; si 
d=0, retourner a I'etape 1) ; 

25 4) La signature est la paire d' entiers (c,d). 

Le precede cor respondant de verification de la 
signature comporte les six etapes suivantes : 

30 1) Si c n'appartient pas a I'intervalle [l,r-l] ou 

si d n'appartient pas a I'intervalle [l,r-l], la 
signature n'est pas valide ; 

2) Calculer les entiers h= d""^ modulo r, hi = k*h 
modulo r et h2 = c*h modulo r ; 
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3) Calculer le point P= hiG+ h2W; si P=0, la 
signature n'est pas valide ; 

4) Associer au point P un entier i ; 

5) Calculer I'entier f=c-i modulo r ; 

5 6) Retrouver le message m a partir de f et 

verifier que f = R(m) ; si oui, la signature du message 
m est valide ; sinon, la signature n'est pas valide. 

Le procede precedemment decrit permet done 

10 d'obtenir un schema de signature electronique dont la 
securite est basee sur la difficulte du probleme du 
logarithme discret et permettant la reconst i tution 
totale du message. 

L' invention comprend 6galement un second procede 

15 de signature electronique permettant la reconsti tution 
partielle du message. Le schema de signature d6crit 
pr6c§demment permet la reconsti tut ion totale du 
message. Cependant, la taille totale du message a 
signer est limitee par la taille des arguments de la 

20 fonction de redondance R. Le second procede de 
I'invention permet de signer un message d'une taille 
quelconque. Le message m a signer est divise en 2 
parties: la premiere partie mi de taille constante est 
reconstitute a partir de la signature, la deuxieme 

25 partie m2 est transmise avec la signature du message. 
La taille totale de la signature et du message a 
transmettre est done diminuee de la taille de la 
partie mi. Le schema de signature est decrit dans le 
cadre de 1 ' utilisation de courbes elliptiques. II est 

30 cependant possible d'utiliser ce schema dans tout 
ensemble possedant une structure de groupe pour lequel 
le probleme du logarithme discret est difficile, par 
exemple le groupe mul tiplicat if des entiers modulo un 
nombre premier ou le sous-groupe multiplica tif d'ordre 
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un grand nombre premier r des entiers modulo un nombre 
premier p avec r divisant p-1. Le schema de signature 
utilise une fonction de redondance une courbe 

elliptique formant une structure de groupe dont 
5 1' element zero est note O et un point G de la courbe, 
lequel point G est generateur d'un sous-groupe d'ordre 
un nombre premier r. La cle privee est un entier 
positif s inferieur a r et la cle publique est le 
point W=s.G- Le procede de generation de la signature 

10 d^un message m constitue des_ mess^jgej5_ mj et m2 comport e 

les six etapes suivantes : 

1) Generer un entier aleatoire u compris entre 1 
et r-1 et calculer V=u.G ; 
15 2) Calculer fi=R(mi) ; 

3) Associer au point V un entier i et calculer 
c = i+ fi modulo r ; si c = 0, retourner a I'etape 1 ; 

4) Calculer f2=H{m2)# ou H est une fonction de 
hachage ; 

20 5) Calculer 1' entier d=u"'*^* ( f2 + s*c) modulo r ; si 

d=0, retourner a I'etape 1 ; 

6) La signature est le couple d'entiers (c,d), 

Le procede de verification de la signature prend 
25 en entr6e une paire d'entiers (c,d) et le message 
partiel ma et comprend les sept etapes suivantes : 

1) Si c n'appartient pas a I'intervalle [l,r-l] ou 
si d n'appartient pas a I'intervalle [l,r-l], la 

30 signature n'est pas valide ; 

2) Calculer f2"H(m2)/ ou H est une fonction de 
hachage ; 

3) Calculer les entiers h= d""^ modulo r, hi= f2*h 
modulo r et h2=c*h modulo r ; 
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4) Calculer le point P= hiG+ ; si P = 0, la 
signature n'est pas valide ; 

5) Associer au point P I'entier i ; 

6) Calculer I'entier fi=c-i modulo r ; 

5 7) Obtenir le message mi a partir de fi et verifier 

que fi=R{mi) ; si oui, la signature du message m est 
valide ; sinon, la signature n'est pas valide. 

Le procede precedemment decrit permet done 

10 d' obtenir un schema de signature electronique dont la 
securite est basee sur la difficulte du logarithme 
discret et permettant la recons ti tution partielle du 
message. L'interet d'un tel schema est de diminuer la 
taille totale de la signature et du message a 

15 transmettre sans toutefois imposer de contrainte de 
taille a ce message. 

L' invention consiste egalement en deux techniques 
generales permettant de minimiser la taille totale de 
la signature et du message a transmettre. La premiere 

20 technique consiste a inclure une partie du message a 
I'interieur de la signature en choisissant 
convenabl ement les donn^es aleatoires utilisees lors 
de la generation de la signature. La deuxieme 
technique consiste a supprimer une partie des octets 

25 representant la signature, la recons ti tut ion complete 
de la signature s'effectuant durant la phase de 
verification. 

Le troisieme procede de 1' invention consiste en 
une amelioration du schema de signature de Nyberg- 
30 Rueppel rappele precedemment, et consiste a inclure 
une partie du message de taille t octets dans I'entier 
d defini precedemment, t etant un entier petit- Dans 
ce procede, les t octets de poids faible de I'entier d 
contiennent t octets du message. Le troisieme procede 
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de 1' invention permet done d'augmenter de t octets la 
taille du message a signer par rapport au schema de 
signature de Nyberg-Rueppel decrit precedemment . Le 
troisieme precede utilise une fonction de redondance 
5 R, une courbe elliptique formant une structure de 
groupe dont 1' element z6ro est note O et un point G de 
la courbe, lequel point G est generateur d'un sous- 
groupe d'ordre un nombre premier r. La cle privee est 
un entier positif s inferieur a r et la cle publique 

10 e s t__ _le _ .pjDi_nt„ _ W.= s_. G^ _ L e_ _pr p c ed6 d e g e n ^^i_PI>__ „ 1 ^ 

signature d'un message m comporte les cinq etapes 
suivantes : 

1) Enlever les t octets de poids faible du message 
15 m et memoriser le resultat dans m' ; calculer 

f=R(mM ; 

2) Generer un nombre aleatoire u compris entre 1 
et r-1 et calculer V=u.G ; 

3) Associer au point V un entier i et calculer 
20 c=i+f modulo r ; retourner a I'etape 1) si c=0. 

4) Calculer I'entier d=u-s*c modulo r ; si d n'est 
pas egal a m modulo 2®^ retourner a I'etape 2) ; 

5) La signature est le couple d'entiers (C/d). 

25 Le precede de verification de la signature 

comporte les cinq etapes suivantes : 

1) Si c n'appartient pas a I'intervalle [l,r-l] ou 
si d n'appartient pas a I'intervalle [0,r-l], la 

30 signature n'est pas valide ; 

2) Calculer le point P = d.G + c.W; si P=0^_ 1^ 
signature n'est pas valide ; 

3) Associer au point P I'entier i ; 

4) Calculer I'entier f=c-i modulo r ; 
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5) Obtenir le message m' a partir de f et verifier 
que f=R(m') ; si ce n'est pas le cas, la signature 
n'est pas valide ; si c'est le cas, la signature est 
valide et le message m est la concatenation au message 
5 m' des t octets de poids faible de I'entier d. 

II est possible d'effectuer un pre-trai tement des 
donnees permettant d'accelerer la generation des 
signatures selon le schema de signature decrit 

10 pr6cedemment . Le precede de pre- trai tement prend en 
entree la cle secrete s et consiste a mettre en 
memoire dans une table un grand nombre de valeurs (i, 
Xu) avec Xu=u-s*i modulo r et i etant I'entier associe 
au point V=u.G, de telle sorte que ces valeurs 

15 puissent §tre accedees par le reste de Xu modulo 2®^. 
Le precede de generation de signature avec pre- 
traitement des donnees utilise une fonction de 
redondance R, une courbe elliptique formant une 
structure de groupe dont 1^ element zero est note O et 

20 un point G de la courbe, lequel point G est generateur 
d'un sous-groupe d'ordre un nombre premier r. La cle 
privee est un entier positif s inferieur a r et la 
cle publique est le point W=s.G. 

Le precede de generation de signature avec pre- 

25 traitement des donnees comporte les huit etapes 
suivantes : 

1) Enlever les t octets de poids faible du message 
m et memoriser le resultat dans le message m' ; 

30 calculer f=R(m'). Les t octets de poids faible du 
message m sont memorises dans 1' entier 6 ; 

2) Calculer I'entier y=s*f modulo r et I'entier 
X=y modulo 2^^ ; 
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3) Si y<r/2, executer d'abord I'etape 4 et ensuite 
I'etape 5 ; sinon executer d'abord I'etape 5 et 
ensuite I'etape 4 ; 

4) Acceder aux elements de la table dont le reste 
5 modulo 2^^ est A,+5 modulo 2^^ et selectionner un element 

tel que Xu est superieur ou egal a y ; si un tel 
element existe, il est supprime de la table et le 
proced6 passe a I'etape 6) ; 

5) Acceder aux elements de la table dont le reste 
1 0 _ _ mo du 1 _o_ „2 _ e s t _ Al+A± ? _ ^ "LO _ _ 2_®^ e t s e 1 e ct 1 o n ne r_ _ un 

element tel que Xu est inferieur a y ; si un tel 
element existe, il est supprime de la table et le 
precede passe a l'6tape 6) ; 

6) Calculer I'entier d= Xu-y modulo r ; 

15 7) Obtenir I'entier i associe a Xu et calculer 

c=i+f modulo r ; 

8) La signature est le couple d'entiers (c^d). 

Le quatrieme precede de 1' invention consiste en 
20 une amelioration du schema de signature a base de 
logarithme discret avec recons t i tution partielle du 
message decrit pr ecedemment . Le quatridme precede de 
1' invention consiste a inclure une partie du message 
de taille t octets dans I'entier d d^fini 
25 precedemment / t etant un entier petit. Dans ce 
precede, les t octets de poids faible de I'entier d 
contiennent t octets du message. Le quatrieme precede 
de 1' invention permet done de diminuer de t octets la 
taille totale de la signature et du message a 
30 transmettre. Le schema de signature utilise une 
fonction de redondance R, une courbe elliptique 
formant une structure de groupe dent 1' element zero 
est note O et un point G de la courbe, lequel point G 
est generateur d' un sous-groupe d'ordre un nombre 
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premier r. La cle privee est un entier positif s 
inferieur a r et la cle publique est le point W = s.G. 
Le precede de generation de la signature d'un message 
m constitue des messages mi et ma comporte les six 
5 etapes suivantes: 

1) Generer un entier al6atoire u compris entre 1 
et r-1 et calculer V=u . G ; 

2) Calculer fi=R(mi) ; 

10 3) Associer au point V un entier i et calculer 

c=i+ fi modulo r ; si c=0, retourner a I'etape 1 ; 

4) Calculer f2==H(m2), ou H est une fonction de 
hachage ; 

5) Calculer I'entier d=u"^* ( f2 + s*c) modulo r ; si 
15 d = 0 ou si d n'est pas egal a m2 modulo 2^^ , retourner a 

l'6tape 1 ; 

6) La signature est le couple d'entiers (c^d) et 
le message a transmettre est m'2 consistant en m2 prive 
de ses t octets de poids faible, 

20 

Le precede de verification de la signature prend 
en entree une paire d'entiers (c,d) et le message 
partiel m' 2 et comprend les huit stapes suivantes : 

25 1) Si c n'appartient pas a I'intervalle [l,r-l] ou 

si d n'appartient pas ^ I'intervalle [l^r-1], la 

signature n'est pas valide ; 

2) Completer m' 2 en m2 en lui ajoutant les t octets 

de poids faible de d ; 
30 3) Calculer f2 = H{m2), ou H est une fonction de 

hachage ; 

4) Calculer les entiers h= d"^ modulo r, hi= f2*h 
modulo r et h2=c*h modulo r ; 
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5) Calculer le point P= hiG+ ; si P=0, la 
signature n'est pas valide ; 

6) Associer au point P I'entier i ; 

7) Calculer I'entier fi=c-i modulo r ; 

5 8) Obtenir le message mi a partir de fi et verifier 

que fi=R(mi) ; si oui, la signature du message m est 
valide ; sinon, la signature n'est pas valide ; 

Le cinquieme proced§ de 1' invention consiste a 
10 supprimer t octets de la chaine d' octets representant 
I'entier d lorsque la signature est le couple 
d'entiers (c,d). Ce precede s'applique au schema de 
signature de Nyberg et Rueppel ainsi qu'au schema de 
signature avec reconstitut ion partielle du message 
15 pr§cedemment decrit. Le precede modifie de generation 
de signature comporte les deux etapes suivantes : 

1) Generer la signature du message m en utilisant 
le schema de signature de Nyberg et Rueppel ou le 

20 schema de signature avec recons t i tution partielle du 
message precedemment d6crit, pour obtenir le couple 
d'entiers (c^d) ; 

2) Calculer d' , quotient entier de la division de 
I'entier d par 2®^. La signature est le couple 

25 d'entiers (c^d'). 

Le precede modifie de verification de signature 
prend en entree un couple (c,d') et un message m2 et 
comporte les 2 etapes suivantes dans le cas de 
30 1' utilisation du schema de signature avec 

reconstitut ion partielle du message precedemment 
decrit : 
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1) Pour i allant de 0 a 2^^-l, calculer I'entier 
d=d' *2®*^ + i et executer le precede de verification de 
signature avec reconst itut ion partielle du message 
precedemment decrit, la signature a verifier 6tant 
(c,d) ; si le procede de verification de signature 
reconnait la signature (c,d) comme valide, la 
signature est valide, et le procede est terming ; 

2) Si I'etape 1) n'a pas abouti, la signature 
n'est pas valide. 

Dans le cas de 1 ' utilisation du schema de 
signature de Nyberg-Rueppel , le proc6d6 de 

verification de signature prend en entree un couple 
(c,d') et comporte les cinq etapes suivantes : 



1) Si c n'appartient pas a I'intervalle [l,r-l], 
la signature n'est pas valide ; 

2) Calculer le point P=d' *2®*^ . G + c . W ; 

3) Pour j allant de 0 ^ 2®^-l, executer les etapes 
20 suivantes : 

3)a) Si P=0, executer I'etape 3)d) ; 

3)b) Associer au point P I'entier i et 
calculer I'entier f=c-i modulo r ; 

3)c) Retrouver le message m a partir de f et 
25 verifier que f=R(m) ; si oui , executer I'etape 

5) ; 

3)d) Remplacer P par P+G ; 

4) La signature n'est pas valide et le procede est 
termini ; 

30 5) Si I'entier d = d'*2^^ + j n'appartient pas a 

I'intervalle [0,r-l], la signature n'est pas valide ; 
sinon la signature est valide et le procede est 
termine . 
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Le sixieme precede de I'invention consiste en une 
modification du schema de signature de Nyberg et 
Rueppel permettant d'augmenter de t octets la taille 
des messages a signer, t etant une variable entiere. 
Le sixieme precede utilise une fonction de redondance 
R, une courbe elliptique formant une structure de 
groupe dont I'element zero est note O et un point G de 
la courbe, lequel point G est generateur d'un sous- 
groupe d'ordre un nombre premier r. La cle priv6e est 
un entier positif s inferieur a r et la cle publique 
est le point W = s.G- Le precede de generation de la 
signature d'un message m comporte les cinq etapes 
suivantes : 

1) Generer un nombre aleatoire u et calculer 
V=u,G ; 

2) Obtenir le message m' en enlevant au message m 
les t octets de poids faible et calculer f =R (m' ) ; 

3) Associer au point V un entier i et calculer 
c=i+f modulo r ; retourner a I'etape 1) si c=0 ou si i 
n'est pas egal a m modulo 2^^ ; 

4) Calculer d=u-s*c modulo r ; 

5) La signature est la paire d'entiers (c,d). 

Le precede de verification de la signature 
comporte les quatre etapes suivantes : 

1) Si c n'appartient pas a I'intervalle [l,r-l] ou 
si d n'appartient pas a I'intervalle [O^r-1], la 
signature n'est pas valide ; 

2) Calculer le point P=d.G + c.W; si P=0, la 
signTatTure " n^ e^tr pas 'vairde 

3) Associer au point P I'entier i et calculer 
I'entier f=c-i modulo r ; 
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4) Retrouver le message a partir de f et 

verifier que f=R(in') ; si oui^ retrouver le message m 
en concatenant au message m' les t octets de poids 
faible de i. La signature du message m est alors 
valide ; sinon, la signature n'est pas valide. 

Le septieme procede de 1' invention consiste en une 
modification du schema de signature avec 

recons t i tution partielle du message precedemment 
decrit permettant d'augmenter de t octets la taille du 
message mi reconstitue a partir de la signature, t 
etant une variable entiere. Le septieme procede 
utilise une fonction de redondance R, une courbe 
elliptique formant une structure de groupe dont 
I'element zero est note O et un point G de la courbe, 
lequel point G est generateur d'un sous-groupe d'ordre 
un nombre premier r. La cle privee est un entier 
positif s inferieur a r et la cle publique est le 
point W=s.G. Le proc6d6 de generation de la signature 
d'un message m, constitu6 de deux messages mi et mz, 
comporte les six etapes suivantes : 

1) Generer un entier aleatoire u compris entre 1 
et r-1 et calculer V=u.G ; 

2) Obtenir m'l en enlevant au message mi les t 
octets de poids faible. Calculer fi=R(m'i} ; 

3) Associer au point V un entier i et calculer 
c = i+ fi modulo r ; si c=0 ou si i n'est pas egal a mi 
modulo 2^^, retourner a I'etape 1 ; 

4) Calculer f2 = H(m2)/ ou H est une fonction de 
hachage ; 

5) Calculer I'entier d=u'''^* ( f2 + s*c) modulo r ; si 
d=0, retourner a I'etape 1 ; 

6) La signature est le couple d'entiers (c,d). 
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Le procede de verification de la signature prend 
en entree une paire d'entiers (c^d) et le message 
partiel ma et comprend les sept etapes suivantes : 

5 

1) Si c n'appartient pas a I'intervalle [l,r-l] ou 
si d n'appartient pas a I'intervalle [l,r--l], la 
signature n'est pas valide ; 

2) Calculer f2 = H{m2)f ou H est une fonction de 
10 hachage ; 

3) Calculer les entiers h= d""^ modulo r, hi= f2*h 
modulo r et h2 = c*h modulo r ; 

4) Calculer le point P= hiG+ haW; si P=0, la 
signature n'est pas valide. 

15 5) Associer au point P I'entier i ; 

6) Calculer I'entier fi=c-i modulo r ; 

7) Obtenir le message m' i a partir de fi et 
verifier que fi=R(m'i) ; si oui, obtenir mi en 
concatenant au message m' i les t octets de poids faible 

20 de I'entier i. La signature du message m est alors 
valide ; sinon, la signature n'est pas valide. 

II est possible pour les sixiemes et septiemes 
proc6des de diminuer les temps de calcul en effectuant 
25 des pr6-t rai t ement s . Ces pre- t raitement s consistent a 
mettre en memoire dans une table des couples d' entiers 
{u,i) tels que definis pr ecedemment de telle sorte que 
ces entiers soient accessibles par la valeur de i 
modulo 2®^. 

30 Le huitieme procede de 1' invention consiste en une 

modification du schema de signature de Nyberg et 
Rueppel consistant enlever t octets a I'entier c 

precedemment defini^ t etant une variable entiere. Le 



wo 01/10078 



17 



PCT/FROO/02024 



precede de generation de signature comporte les deux 
etapes suivantes : 

1) Generer la signature du message m en utilisant 
le schema de signature de Nyber g-Rueppel pour obtenir 
le couple d'entiers {c,d) 

2) Calculer c', quotient entier de la division de 
I'entier c par 2®*^. La signature est le couple 
d'entiers (c',d). 

Le procede de verification de signature prend en 
entree le couple d'entiers (c',d) et comporte les cinq 
etapes suivantes : 

1) Si d n'appartient pas a I'intervalle [0,r-l], 
la signature n'est pas valide ; 

2) Calculer le point P=d.G+c'* 2^^.W ; 

3) Pour j allant de 0 a 2®^-l, executer les etapes 
suivantes : 

3)a) Si P=0, executer I'etape 3)d) ; 

3)b) Associer au point P I'entier i et 
calculer I'entier f=c-i modulo r ; 

3)c) Retrouver le message m a partir de f et 
verifier que f=R(m) ; si oui, executer I'etape 
5) ; 

3)d) Remplacer P par P+W ; 

4) La signature n'est pas valide et le procede est 
t ermine ; 

5) Si I'entier c = c'*2®^ + j n' appartient pas a 
I'intervalle [l,r-l], la signature n'est pas valide ; 
sinon la signature est valide et le procede est 
termine . 
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Le neuvieme precede de 1' invention est une 
modification du schema de signature avec 

reconst i tut ion partielle du message defini 

pr ecedemmen t , qui consiste a enlever t octets de 
5 I'entier c defini pr ecedemmen t , t etant une variable 
entiere, Le precede de generation de signature 
comprend les deux etapes suivantes : 

1) Generer la signature du message m, constitue de 
10 deux messages mi et m2/ en utilisant le schema de 

signature avec reconsti tut ion partielle du message 
pour obtenir le couple d' entiers (c,d) ; 

2) Calculer c', quotient entier de la division de 
I'entier c par 2®^. La signature est le couple 

15 d'entiers (c',d). 

Le proc6d6 de verification de signature prend en 
entree un couple d'entiers (c',d) et un message m2 et 
comprend les huit etapes suivantes : 

20 

1) Si d n'appartient pas a I'intervalle [l,r-l], 
la signature n'est pas valide ; 

2) Calculer f2=H(m2)/ ou H est une fonction de 
hachage ; 

25 3) Calculer les entiers h= d"*^ modulo r, hi= f2*h 

modulo r et h2 = c' *2^^*h modulo r ; 

4) Calculer le point P= hi.G+ h2-W ; 

5) Calculer le point Z=h.W ; 

6) Pour j allant de 0 a 2^^-l, executer les etapes 
30 suivantes : 

6)a) Si P=0, executer I'etape 6)d) ; 
6)b) As'socier au poinTt P I'eritier" i et 
calculer 1' entier fi=c-i modulo r ; 
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6)c) Retrouver le message mi a partir de fi et 
verifier que fi = R(mi) ; si oui, executer I'etape 
8) ; 

6)d) Remplacer P par P+Z ; 
5 7) La signature n'est pas valide et le precede est 

termine ; 

8) Si I'entier c=c'*2^^+j n'appartient pas a 
I'intervalle [l,r-l], la signature n'est pas valide ; 
sinon la signature est valide et le precede est 
10 termine . 

Le dixieme precede de 1' invention consiste en une 
modification du schema de signature avec 

recons ti tu tion partielle du message prec6demment 

15 decrit, qui consiste a remplacer la signature (c^d) 
par la signature (ha/d) avec h2 = c*d"^ modulo r. 
L'avantage de ce dixidme precede est de permettre une 
reduction du temps de calcul lorsque ce procede est 
applique a I'un quelconque des precedes definis 

20 precedemment . 

Le enzieme procede de 1' invention consiste en une 
amelioration du schema de signature de Nyberg-Rueppel 
rappele precedemment, et consiste a inclure une partie 
du message de taille t octets dans I'entier d defini 

25 precedemment, t etant un entier petit, ainsi qu'a 
utiliser une autre fonction de redondance. Dans ce 
procede, les t octets de poids faible de 1' entier d 
contiennent t octets du message. Le enzieme procede 
utilise une courbe elliptique fermant une structure de 

30 groupe dont I'element zero est note O et un point G de 
la courbe, lequel point G est generateur d'un sous- 
groupe d' ordre un nombre premier r. La cle privee est 
un entier pesitif s inferieur a r et la cle publique 
est le point W=s.G. Le procede de generation de la 
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signature d'un message m utilise les parametres 
entiers t, a, et k et comporte les sept etapes 
suivantes : 

5 1) Calculer h=H (m) , H etant une fonction de 

hachage ; 

2) Enlever les t octets de poids faible et les k 
octets de poids fort du message m et memoriser le 
resultat dans m' ; 
10 3) Memoriser dans f le resultat de la 

concatenation a m' des a octets de poids fort de h ; 

4) Generer un nombre aleatoire u compris entre 1 
et r-1 et calculer V=u.G ; 

5) Associer au point V un entier i et calculer 
15 c=i+f modulo r ; retourner a I'etape 4) si c=0 ; 

6) Calculer I'entier d=u-s*c modulo r ; si d n'est 
pas egal a m modulo 2®^ retourner a I'etape 4) ; 

7) La signature est le couple d'entiers (c^d)- 

20 Le precede de verification de la signature 

comporte les sept etapes suivantes : 

1) Si c n'appartient pas a I'intervalle [l,r-l] ou 
si d n'appartient pas a I'intervalle [0,r-l], la 

25 signature n'est pas valide ; 

2) Calculer le point P=d.G + c.W; si P=0, la 
signature n'est pas valide ; 

3) Associer au point P I'entier i ; 

4) Calculer I'entier f=c-i modulo r ; 

30 5) Concatener au message m' obtenu a partir de f 

en enlevant les a octets de poids faible les t octets 
de poids faible de d ; 

6) Pour b allant de 0 a 2^^-l repeter I'etape 
suivante : 
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6)a) Concatener a b le message m' pour obtenir 
m et calculer h = H (m) ; Verifier que les a octets 
de poids fort de h et les a octets de poids faible 
de f sent identiques ; si oui, la signature du 
message m est valide et le procede est termine ; 
7) La signature n'est pas valide. 

Les precedes decrits permettent done de reduire de fa?on 
significative la taille totale de la signature et du message a 
transmettre- Lorsque la place en memoire est limitee, il est 
ainsi possible de stocker un plus grand nombre de signatures. 
En outre, il est egalement possible de realiser une 
transmission plus rapide des signatures. Ces precedes sent 
particulierement destinees a etre mises en place dans des 
dispositifs portables, par exemple de type carte a puce. 
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1- Procede de signature electronique comprenant un 
procede de generation et un procede de verification 
permettant un r econs ti tut ion totale du message, ledit 
procede utilisant une fonction de redondance R, un 
5 ensemble possedant une structure de groupe d'ordre un 
nombre premier r, d' element z6ro note O et de 
generateur le point G, la cle privee etant un entier 
positif inf^rieur a r, la cle publique etant le point 

W---S-.-G.^_ -1 e di-t_ p ro.c.e de ^u.t i.l.i.Sja^nJb une constante entier e k 

10 non nulle, caracterise en ce que le procede de 
generation de signature comporte les 4 etapes 
suivantes : 

1) Generer un nombre aleatoire u compris entre 1 
15 et r-1 et calculer V=u.G ; 

2) Associer au point V un entier i et calculer 
c=i+f modulo r ; si c=0, retourner a I'etape 1) ; 

3) Calculer I'entier d=u"^* { k + s*c) modulo r ; si 
d=0, retourner a I'etape 1) ; 

20 4) La signature est la paire d'entiers (c^d) ; 

et en ce que le procede de verification de la 
signature comporte les 6 etapes suivantes : 

25 1) Si c n'appartient pas a I'intervalle [l,r-l] ou 

si d n'appartient pas a I'intervalle [l,r-l], la 
signature n'est pas valide ; 

2) Calculer les entiers h= d"^ modulo "r, hi=k*h 
modulo r et h2 = c*h. modulo ; 

._30 3 ) Calculer .1^^ point P= hiG+ h2W ; si P==0, la 

signature n'est pas valide ; 

4) Associer au point P un entier i ; 

5) Calculer I'entier f=c-i modulo r ; 
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6) Retrouver le message m a partir de f et 
verifier que f = R{m) ; si oui, la signature du message 
m est valide ; sinon, la signature n'est pas valide. 

5 2- Precede de signature electronique comprenant un 
precede de generation et un precede de verification de 
signature permettant une reconstitut ion partielle du 
message, le message m a signer etant divise en deux 
parties, la premiere partie mi de taille constante 

10 etant reconstituee a partir de la signature, la 
deuxieme partie m2 etant transmise avec la signature du 
message, ledit procede utilisant une fonction de 
redondance R, un ensemble possedant une structure de 
groupe d'ordre un nombre premier r, d' element zero 

15 note O et de generateur le point G, la cle privee 
etant un entier positif inferieur a r et la cle 
publique etant le point W=s.G, caracterise en ce que 
le proc6de de generation de la signature d'un message 
m constitue des messages mi et m2 comporte les 6 etapes 

20 suivantes : 

1) Generer un entier aleatoire u compris entre 1 
et r-1 et calculer V==u.G ; 

2) Calculer fi = R(nii) ; 

25 3) Associer au point V un entier i et calculer 

c=i+ fi modulo r; si c=0, retourner a I'etape 1 ; 

4) Calculer f2=H(m2), ou H est une fonction de 
hachage ; 

5) Calculer I'entier d = u'^* ( f2 + s*c) modulo r ; si 
30 d=0, retourner a I'etape 1 ; 

6) La signature est le couple d' entiers (c,d) ; 
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et en ce que le procede de verification de la 
signature prend en entree une paire d'entiers (c,d) et 
le message partiel m2 et comprend les 7 etapes 
suivantes : 

5 

1) Si c n'appartient pas a I'intervalle [l,r~l] ou 
si d n'appartient pas a I'intervalle [l,r-l], la 
signature n'est pas valide ; 

2) Calculer f2=H(in2)/ ou H est une fonction de 
10 hachage ; 

3) Calculer les entiers h= d"^ modulo r, hi= f2*h 
modulo r et h2=c*h modulo r ; 

4) Calculer le point P= hiG+ h2W; si P=0/ la 
signature n'est pas valide ; 

15 5) Associer au point P I'entier i ; 

6) Calculer I'entier fi=c-i modulo r ; 

7) Obtenir le message mi a partir de fi et verifier 
que fi = R(mi) ; si oui, la signature du message m est 
valide ; sinon, la signature n'est pas valide. 

20 

3- Procede de signature electronique comprenant un 
proc6d6 de generation et un procede de verification de 
signature caracterise en ce qu' il consiste a inclure 
une partie du message a I'interieur de la signature en 

25 choisissant convenablement les donnees aleatoires 
utilisees lors de la generation de la signature. 

4- Procede de signature electronique comprenant un 
procede de generation et un procede de verification de 

30 signature caracterTse en ce qu' il " consiste a supprimer 
une partie des octets representant la signature, la 
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recons ti tution complete de la signature s'effectuant 
durant la phase de verification. 

5- Precede d' amelioration du schema de signature de 
5 Nyberg-Rueppel selon la revendicat ion 3 comprenant un 
procede de generation et un precede de verification et 
consistant a inclure une partie du message de taille t 
octets dans I'entier d, t 6tant un entier petit, la 
signature etant le couple d'entiers (c,d), les t 

10 octets de poids faible de I'entier d contenant t 
octets du message, ledit procede utilisant une 
fonction de redondance R, un ensemble possedant une 
structure de groupe d'ordre un nombre premier x, 
d' element zero note O et de generateur le point G, la 

15 cl6 privee etant un entier positif s inf§rieur a r et 
la cle publique etant le point W=s.G, caracterise en 
ce que le procede de generation de la signature d' un 
message m comporte les 5 etapes suivantes : 

20 1) Enlever les t octets de poids faible du message 

m et m6moriser le r6sultat dans m' ; calculer 
f=R(m') ; 

2) Gen6rer un nombre aleatoire u compris entre 1 
et r-1 et calculer V=u.G ; 
25 3) Associer au point V un entier i et calculer 

c=i+f modulo r ; retourner a I'etape 1) si c=0 ; 

4) Calculer I'entier d=u-s*c modulo r ; si d n'est 
pas egal a m modulo 2®^ retourner a I'etape 2) ; 

5) La signature est le couple d'entiers (c,d) ; 

30 

et en ce que le procede de verification de la 
signature comporte les 5 etapes suivantes : 
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1) Si c n'appartient pas a I'intervalle [l,r-l] ou 
si d n'appartient pas a I'intervalle [0,r-l], la 
signature n'est pas valide ; 
5 2) Calculer le point P=d.G+c-W ; si P=0, la 

signature n'est pas valide ; 

3) Associer au point P I'entier i ; 

4) Calculer I'entier f=c-i modulo r ; 

5) Obtenir le message m' a partir de f et verifier 
10 que f=R(m') ; si ce n'est pas le cas^ la signature 

n'est pas valide ; si c'est le cas, la signature est 
valide et le message m est la concatenation au message 
m' des t octets de poids faible de I'entier d. 

15 6- Procede de pre- trait ement de la generation de 
signature selon la r evendicat ion 5 permettant 
d'accelerer la generation des signatures, ledit 
procede comprenant une phase de pre- t r ai tement et une 
phase de generation de la signature, ladite phase de 

20 pre- trai tement prenant en entree la cle secrete s et 
consistant a mettre en m6moire dans une table un grand 
nombre de valeurs (i, Xu) avec Xu=u-s*i modulo r et i 
etant I'entier associe au point V=u.G, de telle sorte 
que ces valeurs puissent etre accedees par le reste de 

25 Xu modulo 2®^, ladite phase de generation de signature 
utilisant une fonction de redondance R, un ensemble 
possedant une structure de groupe d' ordre un nombre 
premier r, d' Element zero note O et de generateur le 
point G, la cle privee etant un entier positif s 

3d' i n f § r i eur k ~ r ~ e t "1 a 'c 16 piib"! i'que"~e tTant'"' l e'^ point W= s . G 
ladite phase de generation de la signature etant 
caracterise par les 8 etapes suivantes: 
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1) Enlever les t octets de poids faible du message 
m et memoriser le resultat dans m' ; calculer 

• f=R(ni') ; les t octets de poids faible du message m 
5 sent memorises dans I'entier 5. 

2) Calculer I'entier y=s*f modulo r et I'entier 
X.= y modulo 2®^ ; 

3) Si y<r/2, executer d'abord I'etape 4 et ensuite 
I'etape 5, sinon executer d'abord I'etape 5 et ensuite 

10 I'etape 4 ; 

4) Acceder aux elements de la table dont le reste 
modulo 2®^ est X+6 modulo 2®^ et selectionner un element 
tel que Xu est superieur ou egal ay; si un tel 
element existe, il est supprime de la table et le 

15 proc6de passe a I'etape 6) ; 

5) Acc6der aux elements de la table dont le reste 
modulo 2®^ est X.+6+r modulo 2®^ et selectionner un 
element tel que Xu est inferieur ay; si un tel 
element existe, il est supprime de la table et le 

20 precede passe a I'etape 6) ; 

6) Calculer I'entier d= Xu-y modulo r ; 

7) Obtenir I'entier i associe ^ Xu et calculer 
c=i+f modulo r ; 

8) La signature est le couple d'entiers (c,d). 

25 

1- Precede d ' amelioration du schema de signature 
avec recons t i tut ion partielle du message selon la 
revendica t ion 2, ledit precede comprenant un precede 
de generation de la signature et un precede de 
30 verification de la signature, ledit precede consistant 
a inclure une partie du message de taille t octets 
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dans I'entier d defini pr ecedemmen t , t etant un entier 
petit, les t octets de poids faible de I'entier d 
contenant t octets du message, ledit procede utilisant 
une fonction de redondance R, un ensemble possedant 
5 une structure de groupe d'ordre un nombre premier r, 
d'element zero note O et de generateur le point G, la 
cle privee etant un entier positif inferieur a r et la 
cle publique etant le point W=s.G, caracterise en ce 
que le procede de generation de la signature d'un 
10 message m constitue des messages mi et ma comporte les 
6 etapes suivantes : 

1) Generer un entier aleatoire u compris entre 1 
et r-1 et calculer V=u.G ; 
15 2) Calculer fi=R(mi) ; 

3) Associer au point V un entier i et calculer 
c=i+ fi modulo r ; si c = 0, retourner a I'etape 1 ; 

4) Calculer f2=H(m2)/ ou H est une fonction de 
hachage ; 

20 5) Calculer I'entier d=u""^*( f2 + s*c) modulo r ; si 

d=0 ou si d n'est pas egal a m2 modulo 2®^ retourner a 
I'etape 1) ; 

6) La signature est le couple d'entiers (c,d) et 
le message a transmettre est m'2 consistant en m2 prive 
25 de ses t octets de poids faible ; 

et en ce que le procede de verification de la 

signature prend en entree une paire d'entiers (c,d) et 

le message partiel m'2 et comprend les 8 etapes 
30~ suiVan t e^s : ^ 
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1) Si c n'appartient pas a I'intervalle [l,r-l] ou 
si d n'appartient pas a I'intervalle [l^r-1], la 
signature n'est pas valide ; 

2) Completer m' 2 en mz en lui ajoutant les t octets 
de poids faible de d ; 

3) Calculer f2 = H{m2)/ ou H est une fonction de 
hachage ; 

4) Calculer les entiers h= d""^ modulo r, hi= f2*h 
modulo r et h2 = c*h modulo r ; 

5) Calculer le point P= hiGH- h2W ; si P=0, la 
signature n'est pas valide ; 

6) Associer au point P I'entier i ; 

7) Calculer I'entier fi=c-i modulo r ; 

8) Obtenir le message mi a partir de fi et verifier 
que fi=R(mi) ; si oui, la signature du message m est 
valide ; sinon, la signature n'est pas valide. 

8- Procede consistant a enlever t octets de la 
chalne d'octets representant I'entier d lorsque la 
20 signature est le couple d'entiers (c^d)^ ledit procede 
comprenant un proc6de de generation de la signature et 
un procede de verification de la signature, ledit 
procede s'appliquant au schema de signature de Nyberg 
et Rueppel, caracterise en ce que le precede modifie 
25 de generation de signature comporte les 2 etapes 
suivantes : 

1) Generer la signature du message m en utilisant 
le schema de signature de Nyberg et Rueppel, pour 
30 obtenir le couple d'entiers (c,d) ; 
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2) Calculer d' , quotient entier de la division de 
I'entier d par 2^^ ; la signature est le couple 
d' entiers (c, d' ) ; 

et en ce que le procede modifie de verification de 
signature prend en entree un couple (c,d') et comporte 
les 5 etapes suivantes : 



1 r " Si c a pp a r ti eFt p a^ V I'l.'n te r v aTle 7 Y^r^lV, 
la signature n'est pas valide ; 

2) Calculer le point P = d ' * 2®*" . G + c • W ; 

3) Pour j allant de 0 a 2^^-l, executer les etapes 
suivantes : 

3)a) Si P=0, executer I'etape 3)d) ; 

3)b) Associer au point P I'entier i et 
calculer I'entier f=c-i modulo r ; 

3)c) Retrouver le message m a partir de f et 
verifier que f=R(m); si oui, executer I'etape 5) ; 

3)d) Remplacer P par P+G ; 

4) La signature n'est pas valide et le procede est 
t ermine ; 

5) Si I'entier d=d' *2®^ + j n'appartient pas a 
I'intervalle [0,r-l]^ la signature n'est pas valide ; 
sinon la signature est valide et le procede est 
termine . 

9~ Procede consistant a enlever t octets de la 
chaine d' octets representant I'entier d lorsque la 
signature est le couple d' entiers (c,d), ledit procede 
comprenantr un" pr^ "de " gene^ratlibn' de"^^^^^^^ " signature^ et" 

un procede de verification de la signature, ledit 
procede au schema de signature avec recons ti tut icn 
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partielle du message selon la revendication 2, 
caracterise en ce que le precede modifie de generation 
de signature comporte les 2 etapes suivantes : 

5 1) Generer la signature du message m en utilisant 

le schema de signature avec recons ti tut ion partielle 
du message precedemment decrit, pour obtenir le couple 
d'entiers (c,d) ; 

2) Calculer d', quotient entier de la division de 
10 I'entier d par 2®^ ; la signature est le couple 
d'entiers (c,d') ; 

et en ce que le precede modifie de verification de 
signature prend en entree un couple {c,d') et un 
15 message ma et comporte les 2 etapes suivantes : 

1) Pour i allant de 0 a 2^^-l, calculer I'entier 
d=d' *2®^ + i et ex6cuter le precede de verification de 
signature avec recons titution partielle du message 

20 pr6cedemment decrit, la signature a verifier etant 
(c^d) ; si le proc6de de verification de signature 
reconnait la signature (c,d) comme valide, la 
signature est valide, et le precede est termine ; 

2) La signature n'est pas valide. 

25 

10- Precede d' amelioration du schema de Nyberg et 
Rueppel permettant d' augmenter de t octets la taille 
des messages a signer, t etant une variable entiere, 
ledit precede comprenant un precede de generation de 
30 la signature et un precede de verification de la 
signature, ledit precede utilisant une fonctien de 
redondance R, un ensemble possedant une structure de 
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groupe d' ordre un nombre premier r, 
note O et de generateur le point G 
etant un entier positif s inferieur 
publique etant le point W=s.G, ca 
le procede de generation de la signature d' un message 
m comporte les 5 etapes suivantes: 



d'element zero 
la cle privee 
a r et la cle 
se en ce que 



1) Generer un nombre aleatoire u et calculer 
V=^. G~~; 

10 2) Obtenir le message m' en enlevant au ^message m 

les t octets de poids faible et calculer f=R(m') ; 

3) Associer au point V un entier i et calculer 
c=i+f modulo r / retourner a I'etape 1} si c=0 ou si i 
n'est pas egal a m modulo 2®^ ; 
15 4) Calculer d=u-s*c modulo r ; 

5) La signature est la paire d'entiers (c,d) ; 

et en ce que le procede de verification de la 
signature comporte les 4 etapes suivantes: 

20 

1) Si c n'appartient pas a I'intervalle [l,r-l] ou 
si d n'appartient pas a I'intervalle [0,r-l]^ la 
signature n'est pas valide ; 

2) Calculer le point P = d.G+c.W; si P=0, la 
25 signature n'est pas valide ; 

3) Associer au point P I'entier i et calculer 
1' entier f=c-i modulo r ; 

4) Retrouver le message m' a partir de f et 
verifier que f=R(m) ; si oui, retrouver le message m 

30 ~ "en bbhca t^nanT " au "mess^ rn'~~ les t ~~ octets^ de poids' 
faible de i ; la signature du message m est alors 
valide ; sinon, la signature n'est pas valide. 
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11- Procede d' amelioration du schema de signature 
avec r econs ti tution partielle du message selon la 
revendicat ion 2, ledit procede comprenant un procede 
5 de generation de la signature et un procede de 
verification de la signature, ledit procede permettant 
d'augmenter de t octets la taille du message mi 
reconstitue a partir de la signature, t etant une 
variable entiere, ledit proc6de utilisant une fonction 

10 de redondance R, un ensemble possedant une structure 
de groupe d' ordre un nombre premier r, d' element zero 
note O et de generateur le point G, la cl6 privee 
etant un entier positif inf^rieur a r et la cle 
publique etant le point W=s.G, caracterise en ce que 

15 le procede de generation de la signature d'un message 
m comporte les 6 etapes suivantes : 

1) Generer un entier aleatoire u compris entre 1 
et r-1 et calculer V=u . G ; 
20 2) Obtenir m' i en enlevant au message mi les t 

octets de poids faible ; calculer fi=R(m'i) ; 

3) Associer au point V un entier i et calculer 
c=i+ fi modulo r ; si c = 0 ou si i n'est pas egal a mi 
modulo 2®^ ; retourner a I'etape 1 ; 
25 4) Calculer f2 = H(m2)f ou H est une fonction de 

hachage ; 

5) Calculer I'entier d=u"'^* ( f2 + s*c) modulo r ; si 
d=0, retourner a I'^tape 1 ; 

6) La signature est le couple d' entiers (c,d) ; 

30 

et en ce que le procede de verification de la 
signature prend en entree une paire d'entiers (c,d) Rt 
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le message partial m2 et comprend les 7 etapes 
sui vant es : 

1) Si c n'appartient pas a I'intervalle [l,r-l] ou 
5 si d n'appartient pas a I'intervalle [l,r-l]^ la 

signature n'est pas valide ; 

2) Calculer f2=H(m2)f ou H est une fonction de 
hachage ; 

3) Calculer les entiers h= d'^^ modulo r, hi= f2*h 
10 modulo r et h2 = c*h modulo r ; 

4) Calculer le point P= hiG+ h2W; si P=0, la 
signature n'est pas valide ; 

5) Associer au point P I'entier i ; 

6) Calculer I'entier fi=c-i modulo r ; 

15 7) Obtenir le message m' i a partir de fi et 

verifier que fi = R{in'i) ; si oui^ obtenir mi en 
concatenant au message m' i les t octets de poids faible 
de I'entier i ; la signature du message m est alors 
valide ; sinon, la signature n'est pas valide. 

20 

12- Procede de pre- t rai tement des calculs permettant 
d'augmenter les performances des precedes selon les 
revendicat ions 10 et 11, caracterise en ce qu' il 
consiste a mettre en memoire dans une table des 

25 couples d'entiers (u,i) de telle sorte que ces entiers 
soient accessibles par la valeur de i modulo 2^^, t 
etant un parametre entier. 

13- Procede d' amelioration du schema de signature de 
30 " Nyberg^^ et" Rueppel cbhsTsTtTan t~^ enle ver "tT "octTe t s ^ 

I'entier c, t etant une variable entiere, ledit 
procede comprenant un procede de generation de la 



wo 01/10078 




PCT/FROO/02024 



signature et un procede de verification de la 
signature^ la signature etant constitue du couple 
d'entiers (c,d), caracterise en ce que le procede de 
generation de signature comporte les 2 etapes 
5 suivantes : 

1) Generer la signature du message m en utilisant 
le schema de signature de Nyberg-Rueppel pour obtenir 
le couple d'entiers (c,d) ; 
10 2) Calculer c', quotient entier de la division de 

I'entier c par 2®^ ; la signature est le couple 
d'entiers (c',d) ; 

et en ce que le procede de verification de signature 
15 prend en entree le couple d'entiers (c'^d) et comporte 
les 5 etapes suivantes: 

1) Si d n'appartient pas a I'intervalle [0,r-l], 
la signature n'est pas valide ; 
20 2) Calculer le point P=d.G+c'* 2^^.W ; 

3) Pour j allant de 0 ^ 2®^-l ; executer les 
fetapes suivantes: 

3)a) Si P=0, ex6cuter I'etape 3)d) ; 
3)b) Associer au point P I'entier i et 
25 calculer I'entier f=c-i modulo r ; 

3)c) Retrouver le message m a partir de f et 
verifier que f=R(m) ; si oui, executer I'etape 
5) ; 

3)d) Remplacer P par PH-W ; 
30 4) La signature n'est pas valide et le procede est 

t ermine ; 
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5) Si I'entier c=c' *2^^+ j n'appartient pas a 
I'intervalle [l,r-l], la signature n'est pas valide, 
sinon la signature est valide et le proced6 est 
t ermine . 

14- Precede d' amelioration du schema de signature 
avec recons t itution partielle du message selon la 
revendica t ion 2 consistant a enlever t octets de 
I'entier c defini selon la revendica tion 2, t etant 
une variable entiere, ledit precede comprenant un 
procede de generation de la signature et un procede de 
verification de la signature, caracterise en ce que le 
proc6d6 de generation de signature comprend les deux 
etapes suivantes : 

1) Generer la signature du message m en utilisant 
le schema de signature avec recons ti tut ion partielle 
du message pour obtenir le couple d'entiers (c^d) ; 

2) Calculer c', quotient entier de la division de 
I'entier c par 2^^ ; la signature est le couple 
d'entiers (c',d) ; 

et en ce que le procede de verification de signature 
prend en entree un couple d'entiers (c',d) et un 
message m2 et comprend les 8 etapes suivantes: 

1) Si d n'appartient pas a I'intervalle [l,r-l], 
la signature n'est pas valide ; 

2) Calculer f2 = H(m2)/ ou H est une fonction de 
hachage ; 

3) Calculer les entiers h= d~^ modulo r, hi= f2*h 
modulo r et h2 = c'*2®^*h modulo r 
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4) Calculer le point P= hi.G+ h2.W ; 

5) Calculer le point 2=h.W ; 

6) Pour j allant de 0 a 2^^-l ; executer les 
etapes suivantes: 

5 6)a) Si P=0, executer I'etape 6)d) ; 

6)b) Associer au point P I'entier i et 
calculer I'entier fi=c-i modulo r ; 

6)c) Retrouver le message mi a partir de fi et 
verifier que fi = R(nii); si oui, executer I'etape 
10 8) ; 

6)d) Remplacer P par P+Z ; 
7} La signature n'est pas valide et le procede est 
termini ; 

8) Si I'entier c=c'*2®^+j n'appartient pas a 
15 I'intervalle [l^r-1]^ la signature n'est pas valide, 
sinon la signature est valide et le procede est 
termine . 



15- Proc§de de modification du schema de signature 
20 avec reconsti tution partielle du message selon I'une 
quelconque des revendicat ions precedentes^ caracterise 
en ce qu'il consiste a remplacer la signature {c,d) 
par la signature (h2fd) avec h2=c*d'^ modulo r. 



25 16- Procede d' amelioration du schema de signature de 
Nyberg-Rueppel , ledit procede comprenant un procede de 
generation de la signature et un procede de 
verification de la signature^ ledit procede consistant 
a inclure une partie du message de taille t octets 

30 dans I'entier d, la signature 6tant le couple 
d'entiers (c,d), t etant un entier petit, les t octets 
de poids faible de I'entier d contenant t octets du 
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message, ledit procede utilisant un ensemble possedant 
une structure de groupe d'ordre un nombre premier r, 
d'element zero note O et de generateur le point G, la 
cl6 privee etant un entier positif s inferieur a r et 
5 la cl6 publique 6tant le point W=s.G, caracteris§ en 
ce que le procede de generation de la signature d'un 
message m utilisant les parametres entiers t, a, et k 
et comporte les 7 etapes suivantes : 

10 1) Calculer h=H (m) , H etant une fonction de 

hachage ; 

2) Enlever les t octets de poids faible et les k 
octets de poids fort du message m et memoriser le 
resultat dans m' ; 
15 3) Memoriser dans f le resultat de la 

concatenation a m' des a octets de poids fort de h ; 

4) Generer un nombre aleatoire u compris entre 1 
et r-1 et calculer V=u.G ; 

5) Associer au point V un entier i et calculer 
20 c=i+f modulo r ; retourner a I'etape 4) si c=0 

6) Calculer I'entier d=u-s*c modulo r ; si d n'est 
pas egal a m modulo 2°^ retourner a I'etape 4) ; 

7) La signature est le couple d'entiers {c,d) ; 

25 et en ce que le procede de verification de la 
signature comporte les 7 etapes suivantes : 

1) Si c n'appartient pas ^ I'intervalle [l,r-l] ou 
si d n'appartient pas a I'intervalle [0,r-l], la 

30 signature n'est pas valide ; 

2) Calculer le point P=d.G+c.W ; si P=0, la 
signature n'est pas valide ; 
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3) Associer au point P I'entier i ; 

4) Calculer I'entier f=c-i modulo r ; 

5) Concatener au message m' , obtenu a partir de f 
en enlevant les a octets de poids faible, les t octets 

5 de poids faible de d ; 

6) Pour b allant de 0 a l^^-l repeter I'etape 
suivante : 

6) a) Concatener a b le message m' pour obtenir 
m et calculer h=H (m) ; verifier que les a octets 
10 de poids fort de h et les a octets de poids 

faible de f sont identiques ; si oui, la signature 
du message m est valide et le precede est 
termine ; 

7) La signature n'est pas valide. 

15 

17- Proc6de de generation et de verification de 
signature electronique selon I'une quelconque des 
revendicat ions precedentes caracteris6 en ce que les 
operations s'effectuent sur une courbe elliptique 

20 formant une structure de groupe et poss6dant au moins 
un point G, qui est generateur d'un sous-groupe 
d'ordre un nombre premier r. 

18- Procede de generation et de verification de 
25 signature electronique selon I'une quelconque des 

revendica tions precedentes caracteris6 en ce que les 
operations s'effectuent dans le groupe mul t iplicati f 
des entiers modulo un nombre premier p. 

30 19- Procede de generation et de verification de 
signature electronique selon I'une quelconque des 
revendica tions precedentes caracterise en ce que les 



wo 01/10078 PCT/FROO/02024 

40 



operations s'effectuent dans un sous-groupe 

mul t iplica t i f d'ordre un entier premier r du groupe 
mult iplicatif des entiers modulo un nombre premier p 
avec r divisant p-1. 



10 



20- Dispositif electronique selon I'une quelconque 

des re vendica t ions precedentes caracterise en ce que 

le dispositif effectuant le test est un dispositif 
portable . 



21- Dispositif electronique selon I'une 
des revendicat ions precedentes caracterise 
le dispositif est une carte a puce. 



quelconque 
en ce que 



15 22- Dispositif electronique selon I'une 

des revendicat ions precedentes caracterise en ce 
le dispositif est une carte sans contact. 



quelconque 
que 



23- Dispositif electronique selon I'une quelconque 
20 des revendications precedentes caracterise en ce que 
le dispositif est une carte PCMCIA. 



25 



24- Dispositif electronique selon I'une 
des revendications precedentes caracterise 
le dispositif est un badge. 



quelconque 
en ce que 



25- Dispositif electronique selon I'une 
des revendications precedentes caracterise 
le dispositif est une montre intelligente . 



quelconque 
en ce que 



30 
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